Cisco fixes root escalation vulnerability with public exploit code
2024/09/04 BleepingComputer — Cisco が修正したコマンド・インジェクションの脆弱性は、公開されているエクスプロイト・コードを用いる攻撃者に対して、脆弱なシステム上でのルート権限への昇格を許すものである。この セキュリティ欠陥 CVE-2024-20469 は、Cisco の Identity Services Engine (ISE) ソリューションで発見されたものである。この ISE とは、エンタープライズ環境でネットワーク・デバイス管理とエンドポイント制御を可能にする、ID ベースのネットワーク・アクセス制御/ポリシー適用のためのソフトウェアである。
OS コマンド インジェクション脆弱性 CVE-2024-20469 は、ユーザーから提供される入力データに対する不十分な検証に起因する。ローカル攻撃者は、悪意を持って作成された CLI コマンドを送信するという、ユーザーによる操作を必要としない低複雑性の攻撃で、この脆弱性を悪用できる。
ただし、Cisco の説明によると、この脆弱性を悪用する脅威アクターの前提は、パッチが適用されていないシステム上で、すでに管理者権限を持っている場合に限られるという。
9月4日 (水) に Cisco は、「Identity Services Engine (ISE) の特定の CLI コマンドの、脆弱性を悪用する認証されたローカル攻撃者が、基盤となるオペレーティング・システムに対してコマンド・インジェクション攻撃を実行し、ルート権限への昇格を達成する可能性がある。Cisco PSIRT は、このアドバイザリに記載されている脆弱性に対して、PoC エクスプロイト・コードが提供されていることを認識している」と警告している。
| Cisco ISE Release | First Fixed Release |
|---|---|
| 3.1 and earlier | Not affected |
| 3.2 | 3.2P7 (Sep 2024) |
| 3.3 | 3.3P4 (Oct 2024) |
| 3.4 | Not affected |
これまでのところ、このセキュリティ脆弱性を悪用する攻撃の証拠は発見されていないと、Cisco は述べている。そして、9月4日付で Cisco は、管理者権限を取得した攻撃者が、パッチ未適用のシステムにログインするために悪用できるバックドア・アカウントを、Smart Licensing Utility Windows ソフトウェアから削除したことを顧客に警告している。
2024年4月には、Integrated Management Controller (IMC) の脆弱性 CVE-2024-20295 へのセキュリティ・パッチがリリースされているが、この脆弱性に対してもエクスプロイト・コードが公開されており、ローカル攻撃者にルート権限の取得を許していた。
不正なルート・ユーザーの追加に成功した脅威アクターが、悪意の電子メールを介して Security Email Gateway (SEG) アプライアンスをクラッシュさせる可能性がある、別の深刻な脆弱性 CVE-2024-20401 も、先月に修正されている。
Cisco ISE の脆弱性 CVE-2024-20469 が FIX しましたが、すでに PoC エクスプロイトも提供されているようです。攻撃の範囲はローカルですが、ご利用のチームは、十分に お気をつけください。よろしければ、Cisco ISE で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.